La Comunidad DragonJAR » Pública

Firmando Documentos y Correos con GPG

DragoN — Sun, 26 Jul 2009 02:49:16 +0000

Muchas veces en nuestra vida cotidiana o nuestro trabajo, necesitamos que la informacion que enviamos por medios electrónicos no sean visto por terceras personas, para esto es necesario que utilicemos conexiones seguras y que cifremos nuestra informacion, en el siguiente articulo creado por Seifreed nos explica como realizar el firmado y cifrado de documentos con GPG (GNU Privacy Guard) el reemplazo libre del PGP (Pretty Good Privacy).

Es increíble como avanzan las tecnologías cada vez mas, hemos de proteger y verificar que la información que enviamos y recibimos es la correcta.

Objetivo:

Poder firmar correos y documentos y verificar la integridad.

Por eso, hoy explicaré como firmar los correos y los documentos con GPG.
Empezaremos con explicar que es GPG.

GPG o GNU Privacy Guard es una herramienta para cifrado y firmas digitales, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estándar del IETF denominado OpenPGP.

Muy bien y que es PGP?

Pretty Good Privacy o PGP (privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.
PGP originalmente fue diseñado y desarrollado por Phil Zimmermann en 1991. El nombre está inspirado en el del colmado Ralph’s Pretty Good Grocery de Lake Wobegon, una ciudad ficticia inventada por el locutor de radio Garrison Keillor.

Si queréis mas información podéis visitar los enlaces en la Wikipedia, GNU_Privacy_Guard y PGP.

Cifrar Correos y Documentos con GPG en Windows

Comencemos instalando GPG en Windows.
Nos vamos a la página oficial de GPG para Windows.
Como podéis ver en el centro de la página pone Download. Si le damos nos llevará a la zona de descargas.
También podemos ir manualmente poniendo en el navegador la dirección.
Zona de descargas para GPG
Nos hemos de descargar la primera opción que nos sale.

Donde pone gpg4win-1.1.4 9.5M.
Una vez bajado empezamos a instalarlo.
Es una instalación de Windows. Es decir siguiente, siguiente hasta acabar. Sólo nos hemos de fijar en UNO de los pasos

Sólo necesitaremos lo que hay marcado para instalar. Instalar mas es consumir espacio para nada.
Una vez se haya instalado nos vamos al programa para generar nuestra clave.
Picamos encima del icono.

Y nos saldrá una pantalla como esta:

Aquí nos ofrece tres opciones:

Generar nuestras llaves. Opción que escojeremos.
Copiar otras llaves ya generadas de alguna carpeta.
Generar un par de llaves para una SmartCard

Escogemos la primera que es la que necesitamos. Le damos a OK. Sigamos con la siguiente pantalla:

Aqui le pondremos la información a nuestra clave privada. Nuestro nombre y la dirección de correo a la que pertenecerá esta dirección de correo. Le damos a OK.

Es muy importante recordar esta contraseña. Ya que será con la que firmaremos todos los correos y documentos.
Metemos la clave dos veces, y empezará el proceso de creación de la clave.

Una vez haya acabado nos ha de salir un mensajito como este.

Ahora viene un paso que también es muy importante.

Los que nos recomienda el software es hacer un backup. Ya que si por algún motivo perdemos la clave o olvidamos el password. No podremos abrir ningún archivo si no conocemos la clave o disponemos de la firma correspondiente.

Después de eso nos saldrá el gestor de claves. Nos tendría que salir la clave que acabamos de generar.

Continua leyendo el articulo en el foro, realmente recomendado ==> GPG, firmando correos y documentos…

También puede interesarte...

La Mejor Defensa es la Información

DragoN — Fri, 27 Feb 2009 18:52:45 +0000

En los últimos dos meses, han estado circulando rumores sobre una vulnerabilidad sin parchear en los productos de Adobe. El pasado Jueves 19 de febrero, los colegas de Shadowserver confirmaron que hay un exploit para esta vulnerabilidad y han obtenido una muestra de ella. Pocas horas después Adobe confirmó el fallo con un advisory oficial. McAfee, Symantec, y otras compañías no se han hecho esperar en decir que tenían muestras que se remotan a Enero y hasta Diciembre del año pasado. Symantec publicó una respuesta casi una semana ántes del advisory.

El exploit fué detectado, está siendo activamente explotado, y no lo fué hasta que los colegas de Shadowserver escribieron un resumen de la falla, que Adobe se molestó en lanzar un advisory. Con la fecha de cobertura del 12 de febrero, de Symantec, solo podemos asumir que ellos contactaron Adobe así como también les dieron acceso a la muestra que ellos tenían. La respuesta oficial de Adobe es que un parche para Adobe Acrobat 9 estará disponible el 11 de Marzo, pero ninguna fecha ha sido anunciada para las versiones anteriores. Compare esta respuesta de Microsoft MS08-078, MS08-067, ó incluso MS06-001 y podrá ver una clara diferencia en la forma como responden éstas compañías a los ataques del mundo real en contra de sus usuarios.

Todos los proveedores de seguridad, tanto los que hacen antivirus, evaluación, ó productos de detección de intrusos dependen de la información detallada de las vulnerabilidades para sus productos, crear firmas, y al final, proteger mejor sus usuarios. A pesar de cuantos recursos tengan estos proveedores, todos ellos dependen de la información publica en cierta medida. Las compañías de antivirus tienen una ventaja en términos de recopilación de datos en bruto, pero aún usan sitios web como Milw0rm y herramientas como Metasploit para asegurarse de que sus productos realmente funcionan. La hipocresía es que si bien algunos de estos proveedores comparten información con el público e incluso contribuyen en la investigación de vulnerabilidades, muchos de ellos están usando estos recursos para el ensayo de productos y al mismo tiempo abrumar en sus aviso para la prensa y sus clientes.

El caso más notable de divulgación de información es cuando el beneficio de hacer pública esta información sobrepasa los riesgos posibles. En este caso, como en muchos otros, los chicos malos son los que ganan. Exploits ya están siendo usados y el hecho de que el resto del mundo apenas se esté dando cuenta no significa que estas vulnerabilidades sean nuevas. En este punto, la mejor estrategia es dar a conocer, distribuir la información pertinente, y aplicar la presión sobre los proveedores para liberar un parche.

Adobe ha programado el parche para el 11 de Marzo. Si cree que Symantec les notificó el 12 de Febrero, ha pasado casi un mes entero desde la noticia de un exploit disponible hasta la respuesta del vendedor. Si el vendedor involucrado fuera Microsoft, la prensa estaría criticándoles en este preciso instante. Que parte de “sus clientes están siendo explotados” no entienden?

De nuevo, Sourcefire se enfoca en donde el vendedor falla. Hoy día, Sourcefire VRT hizo público un parche provisional para mitigar este fallo hasta que adoba produzca el parche completo. Afortunadamente, el parche de Sourcefire, junto con las nuevas firmas de IDS y AVs, servirá hasta que Adobe libere la revisión.

Esta es una adaptación al español del articulo “The Best Defense is Information“ realizada por Cortex

También puede interesarte...

Antes y Después de la Criptografía de Clave Pública

DragoN — Mon, 31 Dec 2007 03:28:35 +0000

He encontrado gracias a net-security un vídeo sobre una charla en el museo de historia de la computación donde Whitgield Diffie (figura clave en el descubrimiento de la criptografía de clave publica) nos muestra el cambio de paradigma que fue la Criptografía de Clave publica en los años 70 cuando apenas se estaba implementando.

Muy interesante la charla.